在一场持续的恶意广告攻势中,讲中文的用户成为了 Telegram 等受限消息应用程序的恶意谷歌广告的攻击目标。
“Malwarebytes的杰罗姆-塞古拉(Jérôme Segura)在周四的一份报告中说:”威胁行为者正在滥用谷歌广告商账户来创建恶意广告,并将它们指向毫无戒心的用户下载远程管理木马(RAT)的页面。”此类程序使攻击者能够完全控制受害者的机器,并有能力投放额外的恶意软件”。
值得注意的是,这次代号为 “FakeAPP “的活动是之前攻击浪潮的延续,2023 年 10 月下旬,香港用户在搜索引擎上搜索 WhatsApp 和 Telegram 等消息应用程序时被攻击。
该活动的最新版本还将消息应用程序 LINE 加入了消息应用程序列表,将用户重定向到托管在谷歌文档或谷歌网站上的假网站。
谷歌基础架构被用来嵌入威胁行为者控制下的其他网站链接,以提供恶意安装文件,最终部署 PlugX 和 Gh0st RAT 等木马。
Malwarebytes 说,它追踪到了两个广告商账户的欺诈性广告,这两个账户分别名为 Interactive Communication Team Limited 和 Ringier Media Nigeria Limited,它们都位于尼日利亚。
“Segura说:”通过不断推送新的有效载荷和基础设施作为命令和控制,威胁行为者似乎也重数量而轻质量。
Trustwave蜘蛛实验室(Trustwave SpiderLabs)披露,使用名为 “Greatness “的网络钓鱼即服务(PhaaS)平台创建针对Microsoft 365用户的看似合法的凭证收集页面的情况激增。
该公司称:”该工具包允许个性化发件人姓名、电子邮件地址、主题、信息、附件和 QR 码,从而提高了相关性和参与度,”该公司补充说,它还配备了反检测措施,如随机化标题、编码和混淆,旨在绕过垃圾邮件过滤器和安全系统。
Greatness以每月120美元的价格出售给其他犯罪分子,有效降低了进入门槛,帮助他们进行大规模攻击。
攻击链需要发送带有恶意 HTML 附件的网络钓鱼电子邮件,收件人打开后会进入一个虚假登录页面,该页面会捕获输入的登录凭据,并通过 Telegram 将详细信息泄露给威胁行为者。
其他感染序列则利用附件在受害者机器上投放恶意软件,以方便窃取信息。
为了增加攻击成功的可能性,电子邮件信息会伪造银行和雇主等可信来源,并使用 “紧急发票付款 “或 “需要紧急账户验证 “等主题诱导虚假的紧迫感。
“Trustwave表示:”目前受害者人数尚不清楚,但Greatness被广泛使用,并得到了很好的支持,它自己的Telegram社区提供了如何操作该工具包的信息,以及其他技巧和窍门。
据观察,韩国公司也遭到了网络钓鱼攻击,这些公司利用假冒 Kakao 等科技公司的诱饵,通过恶意 Windows 快捷方式 (LNK) 文件分发 AsyncRAT。
“AhnLab安全情报中心(ASEC)表示:”伪装成合法文件的恶意快捷方式文件正在不断传播。”用户可能会将快捷方式文件误认为是正常文档,因为文件名上看不到’.LNK’扩展名”。
翻译:游侠安全网、原文:The Hacker News
